Verilerinizi korumak için nasıl bir yöntem uyguluyorsunuz? Özellikle günümüz dünyasında veri, en büyük güç haline gelmişken… Durum öyle ki, siyasetten sağlığa, eğitimden lojistiğe değin veriler kullanılmaktadır. Böylece işlenen ve analiz edilen veriler sayesinde birçok yenilik ve hatta yeni dünya düzen(ler)i ile karşılaşmaktayız. Peki, ‘DLP nedir?’ sorusunun yanıtını arayacak olursak ne ile karşılaşırız? Hadi, gelin konuya gerçek hayattan bir örnek senaryo ile girizgah yapalım.
Yiyecek ve içeceklerinizi bir piknik sepetine doldurup, ormanda yürümeye başladınız. Belirli bir yol kat ettikten sonra bir de baktınız ki, o da ne? Sepetinizin içerisinde hiçbir şey kalmamış. Nasıl olabilir? Belki ormanın engebeli yollarında yürürken sepetinizden düştü. Ya da biri arkanızdan sinsice yaklaşıp yiyeceklerinizi çaldı. Belki de istemeden de olsa karşılaştığınız birisine kaptırdınız… Bu gibi ihtimalleri sıralayabilirim. Peki, konumuzla ne alakası var? Eğer sepetinizdeki ürünleri koruyamazsanız bu gibi olasılıklar her zaman var olacaktır. Günün sonunda belirli bir amaç çıktığınız yolda, büyük bir hüzünle karşılaşabilirsiniz. Keza onca emeğiniz ‘hiç olup’ ellerinizin altından gidebilir.
Benzer durumlar internet dünyası için de geçerlidir. Takdir edersiniz ki, günümüzde neredeyse tüm veri ve bilgilerimizi sanal ve sanal ortam aracılığıyla çalıştırdığımız fiziksel depolama aygıtlarında(USB gibi) muhafaza etmekteyiz. Veri kaybını önleme(DLP), kurum ve kuruluşlar için biçilmez kaftandır. Öyleyse DLP nedir sorusu ile keşfetmeye başlayalım.
DLP Nedir?
İki kişinin bildiği sır, sır değildir. Derler. Peki, bir organizasyon içerisindeki gizli veri, gerçekten gizli veri midir? Bu konuda nasıl emin olabiliriz? Pektabii iş sözleşmelerinde “gizlilik” başlığı altında imza atılmaktadır. Ancak gerçekten de durum buna uygun mu ilerlemekte veya bunun takibi nasıl yapılmakta? Örneğin, kötü niyetli bir çalışan, şirket politikalarından veya maaş durumundan memnun olmadığı için şirket içerisindeki gizli dosyaları dışarıya aktarmaya çalışıyor. Bunu nasıl engelleyebilirsiniz? Yanıt, DLP ile.
DLP’nin ana misyonu, gizli bilgilerin organizasyonun sınırları içerisinde kalmasını ve kötü niyetli kişilere veyahut rakiplerin eline geçmesini önlemektir. Bununla birlikte hassas veriye yetkisiz erişimlerin de önüne geçmektedir. Ayrıca hazırlayacağınız DLP politikası kapsamında, ilgili verilerin paylaşımından(şirket içi veya şirket dışı) veya dışarı aktarılmasından da korumaktadır.
Birkaç satır yukarıda veriye yetkisiz erişimin engellenmesinden söz ettim. Peki, yetkili kişi veriye erişip de kötü niyetli bir düşünceye kapılamaz mı? Örneğin, muhasebe departmanının müdürü, şirket çalışanlarının bordrolarını bilerek veya bilmeyerek dışarıya aktarmaya çalıştı. DLP teknolojisi uygulayan bir şirket bunu fark edebilir mi? Elbette fark eder. Peki, iş işten geçtikten sonra mı fark eder? Hayır. Muhasebe müdürü bu işlemi yapmaya başladığı an, DLP politikası devreye girer ve verilerin dışarıya aktarılması anında engellenir. Bununla da yetmez, ilgili kişi veya birimlere alarm olarak bilgilendirme maili/mesajı gönderilir. Bu sayede veri, şirket dışına aktarılmadan güvenlik süreci aktif olarak görevini tamamlamış olur.
DLP Nasıl Çalışır?
Buraya gelene değin birkaç senaryo ile aslında DLP’nin temel çalışma mantığını keşfetmiş olduk. Peki, temelinde adım adım veri kaybı nasıl önlenir? Sizler için maddeler halinde bunun algoritmasını hazırladım. Öyleyse hadi, devam edelim.
1. İçeriğin Keşfi
DLP teknolojisi, çözümleri, şirket ve şirket ağı içerisinde tanımlı veritabanları, sunucular, son kullanıcı cihazları gibi depolama alanlarında hassas verileri tarayarak tanımlamaktadır.
Sizce buradan çıkarılacak sonuç nedir? Yine gerçek hayattan bir örnek vererek netlik kazandırmak istiyorum. Evinizi, en iyi siz bilirsiniz. Çünkü yaşam alanınızı bilinçaltı ve bilinçüstü olarak taradığınızdan, sizden daha iyi bilecek dışarıdan hiç kimse yoktur. Dolayısıyla, evinizin hangi odasında hangi eksik var bilirsiniz. Bundan dolayı DLP’de de ilk aşama, güvenliğin sağlanacağı alanların keşfini yapmaktan geçmektedir.
2. Politika Uygulama
İçeriğin keşfi sağlandıktan sonra sıra hangi alanlarda hangi politikanın işleneceğini belirlemektir. Ki işletmelerde hassas verilerin nasıl işleneceği zaten belirlidir. Standart olarak, kendilerine çoğu zaman regülasyonları kabul etmektedir(eğer banka, enerji firması veya birçok alanda hizmet sunan bir organizasyon değilse…).
Örneğin, veriler şirket içerisinde sınıflandırılır. Bu sınıflandırma, gizli-dışarıya açık şeklinde olabilir. Gizli kategorisinde şirket içi paylaşıma açık, dışarı paylaşıma kapalıdır. Gizli etiketi ile sınıflandırılan bir dosyayı, bilgi güvenliği departmanındaki bir çalışan, insan kaynaklarındaki bir başka çalışana mail olarak gönderebilir. Ancak, yine bilgi güvenliğindeki bir çalışan aynı dosyayı dışarıdaki ortak çalışmalar yürütülen başka bir şirketteki personelin mailine gönderemez. Bunu sağlayan ise DLP politikasıdır.
3. İzleme ve Analiz
İçeriğimin başında ormanda piknik sepeti ile yürüyüşe çıkmak örneğini vermiştim, hatırladınız mı? Siz ormanda yürürken yanınızdan asla ayrılmayan ve sepetinizdeki hiçbir şeyin düşmesine/çalınmasına izin vermeyen bir nöbetçi olsaydı, ne olurdu? İşte DLP’de tıpkı bu şekilde çalışmaktadır. İçeriğin keşfi ve politikanın tanımlanmasından/uygulanmasından sonra sürekli olarak tarama ve izleme yapmaktadır. Üstelik bunu gelişmiş metriklerle takip etmektedir. Dolayısıyla eğer bilgi güvenliği departmanında çalışıyorsanız ve DLP politikasını yönetiyorsanız, kimin ne yaptığını bu gelişmiş araçlar yordamıyla filtreleyerek izleyebilirsiniz.
Tabii bu noktada yalnızca ‘kişi’ bazında da düşünmemek gerek. Aynı zamanda sunucularınızdaki verinin dışarıdan gelen tehditlere veya sunucunun ‘üstüne yazma’ gibi durumlarını da DLP çözümünüz sayesinde keşfedebilirsiniz.
4. Olay Yanıtı
Veri kaybını önleme politikasına uymayan bir durum gerçekleşmesi halinde ne olur? Bunun örneğini muhasebe departmanı müdüründen yola çıkarak vermiştim. Dolayısıyla DLP, olay yanıtı eylemlerini tetiklemektedir. Bu eylemler arasında;
- Alarmlar ve uyarılar,
- Şifrelemeler,
- Karantina,
- Veri transferinin engellenmesi
Gibi aksiyonlar bulunmaktadır. DP olay yanıtı eylemlerini siz de kumunuzun isterleri doğrultusunda düzenleyebilirsiniz. Örneğin, A dosyası, B grubundaki kişilere mail iletirken bilgi güvenliği departmanına mail olarak uyarı gönder. Ancak A dosyası, C grubundaki kişilere mail olarak gönderilirse, dosyayı şifrele. Gibi kurallar tanımlayarak olay yanıtlarınızı özelleştirebilirsiniz.
DLP’nin Kullanım Alanları
Kullanım alanları ile ilgili bir yorum getirebilir misiniz? Aslına bakarsanız, bu içeriğimin ilk satırından itibaren verinin ne denli güçlü olduğundan bahsettim. Peki, hal böyleyken veri kaybını önleme çalışmaları ‘kurum içinde’ hangi alanlarda kullanılır? Şirket içerisinde veri transferinin en yoğun olduğu ortamlar nelerdir? Buna göre bir listeleme yapalım;
- Uç Nokta Koruması,
- Ağ Güvenliği,
- E-Posta Güvenliği,
- Bulut(Cloud) Güvenliği
Hadi, gelin birlikte bu alanları keşfetmeye devam edelim.
1. Uç Nokta Koruması
Her zaman için büyük güvenlik tehditleri oluşturan taşınabilir depolama aygıtları. Buna en bariz örnek ise USB’lerdir. Çoğu şirkette, USB kullanımı kısıtlanmamış veya doğru bir biçimde kullanıma açılmamıştır. Aslında bu durum ISO27001 denetimlerinde de majör bir durumdur.
Özellikle buradan verilerin (ç)alınması kuvvetle muhtemel olduğundan DLP çözümü bu anlamda büyük önem arz etmektedir. Ayrıca dipnot olarak belirtmeliyim ki, şirket içerisindeki güvenlik zafiyetlerinin büyük bir bölümü, kullanıcıların USB kullanımından kaynaklanmaktadır. Enfekte olmuş bir USB’yi şirket cihazınıza taktığınızı bir düşünün, ne olurdu? Sonuç vahim…
2. Ağ Güvenliği
DLP, veri transferini ne üzerinden izliyor olabilir? Tahmin edeceğiniz üzere network üstünden transferler gerçekleşmektedir. DLP çözümü de, ağ üzerinden akan trafiği izleyerek hassas verilerin dışarıya aktarılmasını engeller.
3. E-Posta Güvenliği
Kurumsal hayatın olmazsa olmazıdır mailleşmeler :). Hal böyleyken elbette ki bu alan için de bir güvenlik prosedürü tanımlamak gerekir, değil mi? DLP, hassas ve gizli verilerin dışarıya aktarılmasını bu anlamda engelleyebilmektedir. Üstelik bunu spesifik olarak da özelleştirebilirsiniz. Örneğin, mail ekinde bulunan dosyanın içerisinde ‘sözleşme’ kelimesi geçiyorsa veya ‘TC kimlik numarası’ geçiyorsa, bu mailin dışarıya çıkmasını engelleyebilirsiniz.
4. Bulut(Cloud) Güvenliği
Şirketiniz, bazı verilerini bulut ortamında tutuyor olabilir. Endişelenmeyin. Yine DLP teknolojisi ile şirket verilerinin güvenliğini sağlayabilirsiniz. Keza çoğu kuruluşta kullanılan Teams’i bilirsiniz. Teams’teki mesajlaşmalara değin filtreleme sağlayacağınızı biliyor muydunuz? Örneğin, teams sohbeti içerisinde insanların birbirine IBAN numarası göndermesini engelleyebilirsiniz. Ne de olsa şirket içi borç alıp vermek, kurumsal etiğin dışına çıkmaktadır.
Bunun gibi birçok senaryoyu DLP yordamıyla gerçekleştirebilirsiniz.
DLP’nin Kapsamı Nedir?
Veri kaybını önleme hususunda birçok farklı yöntemi ve kullanılabilirliği açısından örnekleri ile sizlerle paylaştım. Peki, konu DLP’nin kapsamına geldiğinde, hangi başlıklar altında sıralayabiliriz? Sizlere 4 başlık altında bu kapsamlardan kısaca bahsetmek istiyorum. Böylece konunun detaylarına daha hakim olabilirsiniz.
1. Hassas Veri Sınıflandırma
Televizyonlarda hava durumunu hepimiz izlemişiz veya denk gelmişizdir, değil mi? Türkiye kaç bölgeden oluşur? 7 bölgeden. Örneğin, hava durumunda şu şekilde bir tabirle karşılaşmışsınızdır; ‘Doğu Anadolu Bölgesi sağanak yağışın etkisi altında’. Peki, 7 değil de 1 bölgeden oluşsaydı, nasıl tanımlanacaktı?
Aslına bakarsanız hava durumu örneğinden yola çıkarak, hassas veri sınıflandırma konusuna da açıklık getirebiliriz. Verilerinizi gizli, çok gizli, hizmete özel, fikri mülkiyet, anonim gibi başlıklar halinde sınıflandırabilirsiniz. Bu sayede hangi veri türüne, hangi (doğru)DLP politikasını uygulayabileceğinizi de kategorilere ayırmış olursunuz.
2. Şifreleme ve Maskeleme
Şirket içerisindeki çalışanların özlük bilgilerini içeren bir dosyanız, kötü niyetli kişilerin eline geçti. Veriler nasıl görünecektir? Hadi benim üzerimden örnekle gidelim.
İsim: Doğukan(görünen: DO*****)
Meslek: Adli Bilişim Mühendisi(görünen: **** ******* *********)
DLP çözümünüz sayesinde verilerinizi bu şekilde şifreleyebilir, maskeleyebilirsiniz.
3. Son Kullanıcının Bilinçlendirilmesi – Eğitim
DLP teknolojisi uygulanan bir kurum içinde, muhakkak çalışan personele de bilinçlendirme yapılmalıdır. Aslına bakarsanız yalnızca DLP özelinde bu konuyu ele almamak gerek. Çünkü bilgi güvenliğini gerçek anlamda sağlamak adına, siber güvenliğin en zayıf halkası olan ‘insan’ faktörünü bilinçlendirme babında eğitimlerini sağlamak gerekmektedir. Böylece dışarıdan veya içeriden gelebilecek sosyal mühendislik veya diğer tehditlere karşı bilinçli olan personel, bir hata sonucunda güvenlik zafiyetlerine yol açmayacaktır.
4. Mevzuata Uyumluluk
KVKK, GDPR, ISO27001 gibi veri koruma hususundaki regülasyonlara uyumluluk için DLP, eşsiz bir çözümdür diyebilirim. Örneğin, çalıştığınız firmaya 27001 denetimi sürecinde. Denetçiler, veri kaybını önleme veya veri maskeleme ile alakalı bir soru sorduklarında, DLP çözümünüzden raporlarınızı gösterebilir ve süreci idame ettirebilirsiniz.
Bilgi güçtür! Bilgi kimdeyse güçlü taraf bellidir. Peki, bilginin kötü ellere geçmesini, kötü emellere alet olmasını sağlamak nedir? Bence bu da en az bilginin gücü kadar büyük bir marifettir. Peki, sizin veri kaybını önleme hususunda ki düşünceleriniz neler? DLP örneklerine sizin de ekleyebileceğiniz başlıklar var mıdır? Yorumlar kısmından düşüncelerinizi bekliyorum. Sağlıkla ve güvenle kalın.